CVE-2026-45321:TanStack npm 供应链攻击分析
2026年5月11日,npm 官方仓库中 42 个 @tanstack/* 包被植入了恶意版本,攻击者利用 GitHub Actions OIDC 信任publisher机制、pull_request_target 错误配置、和运行时内存提取三重漏洞链,在合法发布流程下将窃密木马推送至84个恶意版本,直接威胁所有在5月11日安装受影响版本的用户。
2026年5月11日,npm 官方仓库中 42 个 @tanstack/* 包被植入了恶意版本,攻击者利用 GitHub Actions OIDC 信任publisher机制、pull_request_target 错误配置、和运行时内存提取三重漏洞链,在合法发布流程下将窃密木马推送至84个恶意版本,直接威胁所有在5月11日安装受影响版本的用户。